YD_T 2848.1-2015移动互联网恶意程序检测方法 第1部分：网络侧.pdf

ICS 33.060M 16YD中华人民共和国通信行业标准YD/T2848.1-2015移动互联网恶意程序检测方法第1部分：网络侧Malware detection method of the mobile internetPart 1: network side2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T 2848.12015目次前范囤·2规范性引用文件3术语、定义和缩略语…3.1术语和定义3.2缩略语4概述.检测方法5.1移动互联网流量采集·5.2移动互联网流量分析5.3 移动互联网恶意程序检测 YD/T 2848.12015前言《移动互联网恶意程序检测方法》分为两个部分：第1部分：网络侧第2部分：终端侧本部分为第1部分。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心、恒安嘉新（北京）科技有限公司。本标准主要起草人：云晓春、王明华、李海灵、邹谦湘、舒敏、李志辉、何能强、陈晓光、吴田田、翠、王维晟、宋天、温森浩、赵慧、王文磊。 YD/T 2848.12015移动互联网恶意程序检测方法第1部分：网络侧1范圈本部分规定了移动互联网恶意程序的网络侧检测方法，提出了在网络侧对移动互联网恶意程序进行检测的技术要求。本部分适用于移动互联网恶意程序的网络侧监测、分析和管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件，YD/T2439-2012移动互联网恶意程序描述格式3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件：3.1.1移动互联网恶意程序MobileInternetMalware在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段，3.1.2移动互联网恶意程序样本MobileIntemetMalwareSamples存放移动互联网恶意代码的文件实体形态，其可以是独立的恶意代码载体文件，被感染型恶意代码感染后的文件对象，也可以是非文件载体恶意代码的文件镜像（包括但不限于引导性恶意代码的文件镜像、内存恶意代码的文件镜像）。3.1.3疑似移动互联网恶意程序SuspectedMobileInternetMalware非已确认的移动互联网恶意程序，但是程序行为或代码可能具备移动互联网恶意程序特征，需要通过研判分析从面确认是否为移动互联网恶意程序的移动互联网程序，3.2缩略语下列缩略语适用于本文件：APNAccess Point Name接入点名称CRCCyclic Redundancy Check循环穴余码校验算法File Transfer Protocol文件传输协议HTTPHyper Text Transfer Protocol超文本传输协议IMEIIntemational Mobile Equipment Identity国际移动电话设备识别码IMSIIntemational Mobile Subscriber Identity国际移动用户识别码1 YD/T2848.12015iosi Operating System苹果公司开发的用于移动设备的操作系统MD5Message Digcst 5消息摘要5MMSMultimedia Message Service多媒体短信服务POP3Post Office Protocol Edition 3邮局通信协议第三版SHA1Security Hash Algorithm1安全哈希算法1SMTPSimple Mail Transfer Protocol简单邮件传输协议URLUniform Resource Locator统一资源定位符，这里指网址WAPWireless Application Protocol无线应用协议WinMobileWindows Mobile微软的用于移动设备的操作系统4概述移动互联网的迅速发展，加速了恶意程序在移动智能终端上的传摄与增长，这些恶意程序往往被用于窃取用户个人隐私信息、非法订购各类增值业务等急危险活动，给用户带来经济损失和安全风险。为了有效监测和控制移动互联网恶意程序的传播，需要根据移动互联网恶意程序特征，在移动互联网的网络侧及时发现移动互联网恶意程序的传播和运行事件。移动互联网恶意程序网络侧的检测方法包括三个组成部分，即移动互联网流量采集、移动互联网流量分析和移动互联网恶意程序检测。移动互联网流量采集：对移动互联网双向